Il gigante della sicurezza FireEye è stato oggetto di un sofisticato e innovativo attacco da parte di attori mandati dallo stato alla ricerca di dati sui clienti del governo, ha rivelato l’azienda.
Il CEO Kevin Mandia ha spiegato ieri in un post sul blog che gli aggressori sono stati in grado di accedere ad alcuni sistemi interni ma che finora non ci sono prove che siano riusciti a esfiltrare i dati dei clienti o i metadati raccolti dai sistemi di threat intelligence dell’azienda.
Tuttavia, sono riusciti a rubare alcuni degli strumenti del team rosso di FireEye, che utilizza per testare la sicurezza dei clienti.
“Non siamo sicuri che l’aggressore intenda utilizzare gli strumenti del nostro team rosso o divulgarli pubblicamente. Tuttavia, per un’abbondanza di cautela, abbiamo sviluppato più di 300 contromisure per i nostri clienti e per la comunità in generale, da utilizzare per ridurre al minimo il potenziale impatto del furto di questi strumenti“, ha spiegato Mandia.
“Finora non abbiamo prove che un hacker possa aver utilizzato gli strumenti rubati della squadra rossa. Noi, così come altri membri della comunità della sicurezza, continueremo a monitorare qualsiasi attività di questo tipo“.
Secondo un altro blog dell’azienda, questi strumenti vanno da semplici script utilizzati per automatizzare la ricognizione a interi framework simili a offerte pubblicamente disponibili come CobaltStrike e Metasploit.
Sebbene Mandia abbia rilasciato alcuni dettagli su come gli aggressori abbiano preso piede nelle reti di una delle società di sicurezza informatica di più alto profilo al mondo, ha rivelato che probabilmente si trattava di una nazione con “capacità offensive di alto livello.
“Questo attacco è diverso dalle decine di migliaia di incidenti a cui abbiamo risposto nel corso degli anni. Gli aggressori hanno adattato le loro capacità di livello mondiale specificamente per mirare e attaccare FireEye“, ha affermato.
“Sono altamente qualificati in materia di sicurezza operativa ed eseguiti con disciplina e concentrazione. Hanno operato clandestinamente, utilizzando metodi che contrastano gli strumenti di sicurezza e gli esami forensi. Hanno utilizzato una nuova combinazione di tecniche che in passato non avevamo visto né da noi né dai nostri partner“.
I rapporti hanno suggerito con quasi certezza che gli aggressori fossero sostenuti dallo Stato russo. In tal caso, richiamerei alla mente gli attacchi di Shadow Brokers del 2016 che hanno portato all’acquisizione di alcuni potenti strumenti di hacking della NSA.
Rick Holland, CISO di Digital Shadows, ha affermato che gli strumenti rubati della squadra rossa, progettati per imitare il comportamento degli attori delle minacce, forniranno agli aggressori un altro metodo per compromettere gli obiettivi del governo.
“Possono riservare i loro strumenti di alto livello a” obiettivi difficili “come il Dipartimento della Difesa e potenzialmente sfruttare questi nuovi strumenti contro” obiettivi flessibili “come le agenzie governative civili”, ha aggiunto.
“I ladri non identificati potrebbero utilizzare gli strumenti rubati per imitare le tattiche di altri paesi, aggiungendo un nuovo livello per proteggere le loro vere identità e intenzioni. Il furto di questi strumenti riduce anche i costi operativi poiché gli attori dello stato nazionale non devono sviluppare nuovi exploit software e strumenti di gestione per le loro intrusioni”.